In der Technologie liegt der Beweis für eine dauerhafte Beziehung in der Infrastruktur – die Pipelines, Sicherheitsdienste und Logging-Systeme müssen nahtlos zusammenarbeiten, lange bevor jemand das Ergebnis sieht.
Genau das haben Sumo Logic und AWS aufgebaut. Ausgerichtet an offenen Standards wie OCSF (Open Cybersecurity Schema Framework), integriert mit Diensten wie Security Hub und GuardDuty und verbunden durch gemeinsame Telemetrie, ermöglicht es Cloud-Sicherheit und Observability in großem Maßstab. Es ist nicht beiläufig, nicht nur transaktional, sondern eine Partnerschaft, die über die Zeit aufgebaut wurde, um in den kritischen Bereichen präsent zu sein – gemeinsame Werkzeuge, konsistente Erwartungen und die Lösung der Infrastrukturprobleme, damit Kunden sich auf die Aufgaben konzentrieren können, die wirklich wichtig sind.
Gemeinsam haben wir dafür gesorgt, dass AWS-Ergebnisse nativ über OCSF in Sumo Logic einfließen, sodass weniger benutzerdefinierte Zuordnungen erforderlich sind. Wir haben eine Integration mit Amazon Security Lake umgesetzt, sodass Kunden alle relevanten Cloud-Telemetriedaten zentral sammeln können, ohne eigene Datenpipelines entwickeln oder betreiben zu müssen. Und wir haben unsere gemeinsamen Fähigkeiten in den Bereichen KI und ML mit Diensten wie Amazon Bedrock erweitert, die eine schnellere Erkennung, Untersuchung und Reaktion auf der Grundlage einer zuverlässigen Grundlage ermöglichen. Das sind keine punktuellen Integrationen, sondern das Ergebnis einer jahrelangen Abstimmung, die es den Sicherheits- und Beobachtungsteams ermöglicht, weniger Zeit mit dem Umgang mit Daten zu verbringen und mehr Zeit mit der Verteidigung, dem Aufbau und der Bereitstellung von Lösungen zu verbringen.
Was sich bei Security Hub geändert hat – und warum das wichtig ist
AWS hat sich auf drei praktische Probleme konzentriert, mit denen Sicherheitsteams täglich konfrontiert sind: Signalfragmentierung, fehlender Kontext und die Kosten für benutzerdefiniertes Mapping.
Erstens: Security Hub erstellt jetzt Exposure Findings. Anstelle von isolierten Warnmeldungen werden die Ergebnisse in GuardDuty, Inspector und Macie miteinander in Beziehung gesetzt, um zu zeigen, welche Gefährdungen wirklich wichtig sind. Zu den Prioritätsfaktoren gehören die Verwertbarkeit, die Auswirkungen und die Ressourcenbelastung, sodass aus dem Lärm eine klare To-Do-Liste wird. Nehmen wir zum Beispiel an, dass GuardDuty ungewöhnliche API-Aufrufe markiert, Inspector eine kritische Sicherheitslücke aufzeigt und Macie sensible Daten identifiziert. In diesem Fall liefert Security Hub ein Exposure Finding: Diese dem Internet ausgesetzte EC2-Instanz ist verwundbar, enthält sensible Daten und wird aktiv ausgekundschaftet. In Sumo Logic fließt diese Erkenntnis direkt in den Entitätskontext ein, der mit dem Nutzerverhalten und anderen Telemetriedaten verknüpft ist, sodass Analysten das gesamte Risikobild in einer Ansicht sehen können.
Zweitens gruppiert Security Hub die Ergebnisse der verschiedenen Dienste, damit die Teams die Beziehungen zwischen einer Bedrohung, einer Schwachstelle und einer Fehlkonfiguration erkennen können. Durch korrelierte Insights erhalten Teams den notwendigen Kontext, um vom Triage-Prozess zur gezielten Behebung zu gelangen. Ein GuardDuty-Alarm über verdächtige Scans in Kombination mit einem Inspector, der einen offenen SSH-Port und eine Fehlkonfiguration der IAM-Berechtigungen entdeckt hat, ergibt beispielsweise ein Narrativ: Dieses Asset könnte verwundbar, falsch konfiguriert oder aktiv angegriffen sein. Sumo Logic nimmt diese gruppierte Ansicht auf, gleicht sie mit MITRE ATT&CK-Technikenund verbindet sie mit Workflows und Playbooks, so dass Analysten schnell von „was passiert ist“ zu „was zu tun ist“ wechseln können.
Drittens hat AWS OCSF in den Ablauf integriert. Die Ergebnisse werden in OCSF bereitgestellt, und die Automatisierungsregeln können auf diese Attribute ohne eigenes Parsing reagieren. Beispiel: Schweregrad = Hoch und Ressourcentyp = EC2, dann isoliere die Instanz. Da Sumo Logic OCSF nativ unterstützt, fließen diese Attribute sauber in Dashboards, Analysen und Automatisierungen ein und sorgen für eine einheitliche Reaktion in AWS- und Hybridumgebungen.
OCSF: die Infrastruktur, auf die es wirklich ankommt
OCSF ist ein offenes Schema, das Ereignis- und Fundformate vorhersehbar und versionierbar machen soll. AWS und andere Branchenteilnehmer haben OCSF in Dienste wie Security Lake und Security Hub integriert, damit Telemetriedaten früher und einheitlicher normalisiert werden. Wenn Protokolle und Ergebnisse einem Standardschema folgen, sind Integrationen keine einmaligen Engineering-Projekte mehr.
Für die Kunden hat das drei unmittelbare Auswirkungen:
- Weniger anfälliges Engineering. Es werden nicht mehr Dutzende individuelle Parser für jede neue Datenquelle oder jeden Anbieter benötigt.
- Schnellere Zeit bis zum Insight. Normalisierte Daten können sofort in Erkennungen und Dashboards einfließen.
- Bessere Automatisierung. Wenn Automatisierungsregeln auf vorhersehbaren Feldern arbeiten, laufen Playbooks zuverlässig.
Der Schwung des OCSF ist innerhalb und außerhalb der AWS sichtbar. AWS Security Lake normalisiert Logs in OCSF-Klassen, und die breite Community arbeitet an der Governance, damit das Schema weiterentwickelt werden kann, ohne Verbraucher zu beeinträchtigen. Wenn Sie OCSF jetzt einführen, ist das nicht nur praktisch, sondern auch zukunftssicher.
Sumo Logic liefert echte Ergebnisse, kein weiteres Format
Die native OCSF-Unterstützung von Sumo Logic für Security Hub-Ergebnisse bedeutet, dass die Kunden keine Übersetzer sein müssen. Die Ergebnisse fließen in Sumo Logic ein, sind bereits auf OCSF abgebildet ist und liefern drei praktische Ergebnisse:
- Benutzerfreundlichkeit vom ersten Tag an. Die Ergebnisse sind sofort umsetzbar, sobald sie eintreffen – sie können in Erkennungen, Untersuchungen und Berichten verwendet werden, ohne dass eigene Transformationen geschrieben werden müssen.
- Kontextuelle Korrelation. Die Ergebnisse des Security Hubs werden zusammen mit Protokollen, VPC-Flows, CloudTrail-Ereignissen und anderen Telemetriedaten in Sumo Logic angezeigt, damit Analysten das Gesamtbild sehen.
- Angleichung an Standards. Da die Daten dem OCSF folgen, können die Kunden Pipelines und Automatisierungen toolübergreifend wiederverwenden, und sie vermeiden eine Anbieterbindung.
Genau das ist der Punkt: Betrachten wir Normalisierung nicht länger als unvermeidlichen Entwicklungsaufwand. Lassen wir Analysten die Analyse machen. Lassen wir Detection Engineers die Regeln abstimmen. SRE- und Cloud-Teams können sich auf die Behebung von Schwachstellen konzentrieren. Sumo Logic und AWS beseitigen gemeinsam den Infrastruktur-Mehraufwand.
Was dies für SecOps-Verantwortliche bedeutet
Diese Aktualisierung ist für Führungskräfte wichtig, da sie sich auf die Kennzahlen auswirkt, die ihnen wichtig sind: mittlere Zeit bis zur Entdeckung (MTTD), mittlere Zeit bis zur Reaktion (MTTR) und Gesamtbetriebskosten.
- POCs und Versuche laufen schneller. AWS ist oft die erste Station bei einer Kundenevaluierung. Wenn der Pfad Security Hub → Sumo Logic keine Mapping-Arbeiten erfordert, zeigen die POCs schneller und mit weniger Ressourcen ihren Wert.
- Geringerer technischer Widerstand. Ingenieure müssen keine fragilen ETL-Skripte mehr pflegen und können sich auf höherwertige Automatisierung konzentrieren.
- Sauberere Compliance-Berichterstellung. Standardisierte Funde lassen sich einfacher in Auditberichte und Compliance-Dashboards einbauen.
- Bessere toolübergreifende Interoperabilität. Die OCSF-Ausrichtung macht es möglich, die besten Tools zu kombinieren und aufeinander abzustimmen, ohne dass Kosten für maßgeschneiderte Integrationsarbeiten anfallen.
Das hilft den Sicherheitsteams, in Cloud-Geschwindigkeit zu arbeiten, ohne dass die Mitarbeiter, die die harte Arbeit erledigen, ausbrennen.
Die Kraft der echten Zusammenarbeit
Sumo Logic und AWS arbeiten seit langem zusammen, immer mit Blick auf die Ergebnisse der Kunden. Als AWS Launch Partner, der sowohl Sicherheits- als auch generative KI-Kompetenzen besitzt, haben wir uns auf die technischen Details konzentriert, auf die es ankommt, wie z. B. die Anpassung an Standards wie OCSF, das Streaming von Ergebnissen direkt von Security Hub und Security Lake und die Integration mit Services wie GuardDuty und Amazon Bedrock sowie Amazon Nova-Modellen.
Diese Infrastrukturarbeit zahlt sich für die Kunden aus. Statt mit Formaten und Konsolen zu jonglieren, erhalten die Teams korrelierte Ergebnisse, klare Prioritäten und automatisierbare Daten, die die Untersuchung und Reaktion beschleunigen, sodass Cloud Security und Analytics als ein System funktionieren.
AWS verdichtet die Signale, die aus der Cloud kommen. Die OCSF gibt diesen Signalen eine Grammatik. Sumo Logic nimmt die Grammatik und verwandelt sie in Antworten. Für Sicherheitsteams bedeutet das, dass sie weniger Nächte mit der Programmierung von Parsern verbringen und mehr Zeit für die Jagd nach echten Bedrohungen haben. Wenn Sie den Security Hub nutzen, ist dies eines dieser pragmatischen Upgrades, die Ihr tägliches Leben verändern. Wenn Sie Cloud-Sicherheitsplattformen evaluieren, sollten Sie Lösungen bevorzugen, die bereits OCSF „sprechen“. Standards sind entscheidend, wenn Sie Detection, Investigation und Response skalieren wollen. Und so werden Standards relevant: nicht in Whitepapers, sondern in der Art und Weise, wie Ihr Team täglich arbeitet.
Erleben Sie Sumo Logic in Aktion. Fordern Sie eine kostenlose Demo an.
